« Le sous-titre
d'un film contient un virus ». Tel est
le titre du communiqué alarmiste publié fin octobre par
l’antivirus
BitDefender. Sceptique, on se demande comment un fichier texte pourrait
être
contaminé. En lisant plus loin, on apprend, qu’en fait, ce
serait le fichier
ZIP censé contenir ces sous-titres d’un DIVX qui serait
vérolé.
On reste toujours aussi sceptique, car un fichier ZIP
n’est pas exécutable. On pense donc d’abord à un fichier
muni d’une double
extension .ZIP.EXE, invisible si le système est mal
configuré. S’agirait-il
d’un fichier EXE compressé? Mais le communiqué ajoute
«
Le fichier ZIP
a été arrangé de manière à ce que la
plupart des antivirus ne détecte pas le
fichier en tant qu'exécutable ». Pourtant la
plupart des antivirus
décompressent à la volée les ZIP pour les
analyser. Alors quoi? Les techniciens
de BitDefender ont joué la transparence, c’est assez rare dans
le milieu pour
être signalé.
Où est le
problème?
Une archive ZIP est
découpée en deux parties. La première contient les
informations sur chaque
fichier archivé (nom, taille, etc.) ainsi que ses données
compressées. La
seconde récapitule les informations de ces fichiers
archivés, ce qui permet
d’en faire l'inventaire et d’y accéder plus rapidement. À
la suite d’une erreur
d’encodage ou d'une malveillance, il est possible que le nom du fichier
réellement compacté et celui qui apparaît dans le
récapitulatif ne soient pas
le même. Ainsi un « AnnaKournikova.jpg »
affiché dans l’interface de
votre logiciel pourrait pointer, en fait, vers « Ohlebeauvirus.exe ».
Et, en
double-cliquant dessus, au lieu de lancer votre visionneuse
d’images automatiquement après décompactage, vous
exécuteriez un code viral!
Des logiciels comme
Stuffit Expander 7.0 ou
Winrar
3.0 se
laissent piéger. Par contre,
Zip Magic 1,
Winzip 8.1,
Winace
2.04 et
Winrar 3.2 n’ont pas tenu compte du nom
modifié.
Bien sûr, les
techniciens de BitDefender ont adapté leur produit en
conséquence. Pour ceux
qui n’utiliseraient pas d’antivirus, vous trouverez un programme minimaliste (n’hésitez pas à
l’améliorer sous licence GPL) en C qui
permet de détecter les ZIP trafiqués. Après
l'avoir recopié et compilé, il vous
suffira de taper « scanzip [Nom du zip à
tester] », pour être sûr de
pouvoir décompresser une archive en toute tranquillité.
Le second fichier est une archive ZIP
exploitant la faille. Bien
évidemment, il est
parfaitement inoffensif. En fonction du nom de fichier qui
apparaîtra après
décompactage, vous saurez si votre logiciel est sûr ou
non. N’hésitez pas à
nous communiquer le résultat!
Logiciels avec cette faille : WinRar 2.70, UltimateZip 2.7.1, UnZip 5.50 (Debian), Stuffit Expander 7.0, Winrar 3.0, Izarc 3.4
Logiciels sans cette faille : ZipMagic 1.0, PowerArchiver 8.6, 7zip, Winzip 8.1, Winace 2.04, Winrar 3.2, Pkunzip
2.50 DOS
(Merci aux personnes qui nous ont transmis leurs résultats !)